Análisis de logs:Sistemas Windows<br />Juan Luis García Rambla<br />Responsable equipo de seguridad<br />Microsoft MVP Sec...
Pero no es tan complicado<br />
Logs “¿para qué?”<br />Activo o reactivo.<br />De todos o de algunos.<br />Todo o lo mínimo.<br />A todos o solo de “sospe...
El visor de sucesos ese gran desconocido<br />
Define el ámbito de registros <br />¿Qué auditas?<br />¿Cómo filtras el nivel de auditoría?<br />Recoge lo indispensable<b...
DEMO Preparando un sistema para registro de información<br />
Cuestión de conceptos<br />Auditoría correcta<br />Auditoría errónea<br />Event ID<br />
Acceso a objetos<br />Puede ser la más confusa de entender.<br />Requiere entender la concatenación de eventos a través de...
DEMO Auditando un servidor de ficheros<br />
Cuestión de <br />estrategia<br />
Upcoming SlideShare
Loading in …5
×

Buscando información: Logs y eventos en Sistemas Windows

2,016 views

Published on

Ponencia impartida por Juan Luis García Rambla de Informática 64, en el I Curso de Verano de Informática Forense en la Facultad de Informática de la Universidad de A Coruña.

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,016
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
123
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Buscando información: Logs y eventos en Sistemas Windows

  1. 1. Análisis de logs:Sistemas Windows<br />Juan Luis García Rambla<br />Responsable equipo de seguridad<br />Microsoft MVP Security<br />jlrambla@informatica64.com<br />
  2. 2.
  3. 3. Pero no es tan complicado<br />
  4. 4. Logs “¿para qué?”<br />Activo o reactivo.<br />De todos o de algunos.<br />Todo o lo mínimo.<br />A todos o solo de “sospechosos”.<br />
  5. 5.
  6. 6. El visor de sucesos ese gran desconocido<br />
  7. 7. Define el ámbito de registros <br />¿Qué auditas?<br />¿Cómo filtras el nivel de auditoría?<br />Recoge lo indispensable<br />Windows 2003 vs Windows 2008<br />
  8. 8. DEMO Preparando un sistema para registro de información<br />
  9. 9. Cuestión de conceptos<br />Auditoría correcta<br />Auditoría errónea<br />Event ID<br />
  10. 10. Acceso a objetos<br />Puede ser la más confusa de entender.<br />Requiere entender la concatenación de eventos a través del Handle ID.<br />Los resultados pueden ser erróneos si no se interpretan correctamente los eventos.<br />
  11. 11. DEMO Auditando un servidor de ficheros<br />
  12. 12.
  13. 13. Cuestión de <br />estrategia<br />

×